Instalacja nielegalnego oprogramowania. Spowolnienie internetu, nie mogę uruchomić programu MBM.

[matteo89net]

Witam serdecznie,

 

W ubiegłą noc pracowałem nad pewnym projektem, w pewnym momencie okazało się że potrzebuję pilnie i jednorazowo edytować plik z grafiką wektorową (Adobe Illustrator). Nie posiadam tego programu, bo w codziennej pracy nie potrzebuję go. Był to jednorazowy przypadek.

 

Nie mam zainstalowanego również programu AV. Normalnie nie używam pirackiego oprogramowania, ani nie wchodzę na podejrzane strony.

 

Zmuszony zaistniałą sytuacją pobrałem jednak z sieci BT [Adobe.Illustrator.CC.2015.u3.x86-x64.RU-EN] (wspomniany program, na potrzeby jednorazowego użytku (przy instalacji wersji z BT zorientowałem się, że Adobe udostępnia wersję 30 dniową :/, ale było już za późno ). Noc, zmęczenie i nauczka na przyszłość.

 

Laptop używam do pracy. Nie chce go formatować.

 

Do sedna sprawy. Po instalacji zauważyłem, że internet zwolnił mi drastycznie na laptopie (jest już tak cały czas). Średnio ok 5-30 kb/s. Wcześniej normalną prędkością było 250kb/s.

 

Zainstalowałem Malwarebytes Anti-Malware. Nie chce się jednak zaktualizować, ani uruchomić skanowanie. Ciężko jest mi pobrać program AV bo zawiesza się pobieranie przy większych plikach.

 

 

Pan z serwisu komputerowego zalecił mi użycie ComboFix. Na waszym forum (po użyciu CF w trybie awaryjnym, piszę ten post również będąc w tym trybie) przeczytałem ostrzeżenie. Teraz jest to moja spowiedź, dlaczego użyłem wspomnianego oprogramowania. Usunąłem MagicDisk do emulacji napędu. Zainstalowałem zalecany program do wygenerowania logów.

 

Załączam wszystkie logi (FRST) i również z ComboFix.

Addition.txt

FRST.txt

Shortcut.txt

log-combofix.txt

[picasso]

Nie widzę żadnych oznak infekcji, poza drobnymi odpadkami adware w Google Chrome (bez związku), choć nie podałeś obowiązkowego GMER. ComboFix także nie usuwał żadych obiektów infekcji. Nie widać także przyczyny opisywanych problemów. Czy na pewno problem z siecią wiąże się z tą instalacją Adobe, a nie jest to jakiś zbieg okoliczności i problem po stronie dostawcy?

 

 

Jedyne co się rzuca w oczy to poniższe błędy w Addition, czyli uszkodzona funkcjonalność WMI oraz zdefektowany sterownik systemowy "Security Processor Loader Driver". Ten odczyt z "Security Processor Loader Driver" byłby normalny, gdyby to był log z poziomu Trybu awaryjnego, ale jest wyraźnie wzmiankowane w nagłówku, że raport tworzono w Trybie normalnym.

 

==================== Punkty Przywracania systemu =========================
 

Sprawdź usługę "winmgmt" lub napraw WMI.
 

==================== Wadliwe urządzenia w Menedżerze urządzeń =============
 

Name: Kontroler Ethernet

Description: Kontroler Ethernet

Class Guid:

Manufacturer:

Service:

Problem: : The drivers for this device are not installed. (Code 28)

Resolution: To install the drivers for this device, click "Update Driver", which starts the Hardware Update wizard.
 

Name: Security Processor Loader Driver

Description: Security Processor Loader Driver

Class Guid: {8ECC055D-047F-11D1-A537-0000F8753ED1}

Manufacturer:

Service: spldr

Problem: : This device is not present, is not working properly, or does not have all its drivers installed. (Code 24)

Resolution: The device is installed incorrectly. The problem could be a hardware failure, or a new driver might be needed.

Devices stay in this state if they have been prepared for removal.

After you remove the device, this error disappears.Remove the device, and this error should be resolved.

 

Nie za bardzo mam się czego złapać. Na razie zadam naprawę WMI oraz kilka resetów sieciowych i zobaczymy czy będą jakieś zmiany.

 

1. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Winmgmt]
"DisplayName"="@%Systemroot%\\system32\\wbem\\wmisvc.dll,-205"
"ImagePath"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,\
74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00
"Description"="@%Systemroot%\\system32\\wbem\\wmisvc.dll,-204"
"ObjectName"="localSystem"
"ErrorControl"=dword:00000000
"Start"=dword:00000002
"Type"=dword:00000020
"DependOnService"=hex(7):52,00,50,00,43,00,53,00,53,00,00,00,00,00
"ServiceSidType"=dword:00000001
"FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\
00,01,00,00,00,c0,d4,01,00,01,00,00,00,e0,93,04,00,00,00,00,00,00,00,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Winmgmt\Parameters]
"ServiceDllUnloadOnStop"=dword:00000001
"ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\
00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
77,00,62,00,65,00,6d,00,5c,00,57,00,4d,00,49,00,73,00,76,00,63,00,2e,00,64,\
00,6c,00,6c,00,00,00
"ServiceMain"="ServiceMain"

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

 

Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:


CHR HomePage: Default -> hxxp://search.zonealarm.com/?src=hp&tbid=HFA5&Lan=en&gu=32d502ec31054bf28499be470fae9b68&tu=10G9y00CR2C01x0&sku=&tstsId=&ver=&

CHR StartupUrls: Default -> "hxxp://www.istartsurf.com/?type=hp&ts=1443427716&z=1173a13125dc3f4157bb657g5z5z9cfzco9m7meg8q&from=smt&uid=st9500420as_5vjf8wtpxxxx5vjf8wtp"

HKU\S-1-5-21-623408391-927989403-1508596462-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

Task: {0A2D5ACD-14F8-485E-AE59-9B16B87010C2} - System32\Tasks\Synaptics TouchPad Enhancements => Program Files\Synaptics\SynTP\SynTPEnh.exe

Task: {14332C43-80E3-467A-9E02-9A42E2A16B25} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 => C:\Program Files (x86)\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe [2014-02-13] (Lenovo)

Task: {EB02381F-D652-4B1C-894A-712498C62C51} - \Microsoft\Windows\MUI\LPRemove -> Brak pliku 

C:\ProgramData\TEMP

Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f

Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f

Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f

CMD: ipconfig /flushdns

CMD: netsh advfirewall reset

CMD: netsh winsock reset

CMD: netsh int 6to4 reset all

CMD: netsh int ipv4 reset all

CMD: netsh int ipv6 reset all

CMD: netsh int httpstunnel reset all

CMD: netsh int isatap reset all

CMD: netsh int portproxy reset all

CMD: netsh int tcp reset all

CMD: netsh int teredo reset all

Hosts:

RemoveProxy:

EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER:

 

C:\Users\Muverbo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools

 

Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files (x86)\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff

 

4. Zrób nowy log FRST z opcji Skanuj (Scan) - ponownie z Addition, ale bez Shortcut - oraz zaległy GMER. Dołącz też plik fixlog.txt. Wypowiedz się czy są jakieś zmiany.

[matteo89net]

Dziękuję serdecznie, moje wyrazy uznania dla Ciebie picasso. Jeszcze raz wielkie dzięki za szybką i fachową pomoc.

 

Wykonałem Twoje zalecenia. Restart, skan FRST i GMER.

Internet działa teraz normalnie, strony wczytują się natychmiast, wcześniej to trwało długo i nie zawsze się wczytały. MBM pobrał aktualizację i skanowanie poszło bez problemów, załączam również z niego log.

 

Pisałeś, że nie dostrzegasz żadnych objawów infekcji (oprócz paru konfliktów, o których napisałeś), co prawda dziwna sytuacja, ale rozumiesz mnie, miałem powody do podejrzeń.

 

Co do samego MBM i wykrytych zagrożeń czekam na odpowiedź, dalsze zalecenia.

 

Pozdrawiam,

Mateusz.

Addition.txt

Fixlog.txt

FRST.txt

gmer-log.txt

log-mbm.txt

[picasso]

Ad "pisałeś" - jestem kobietą.

 

Wyniki MBAM nie są istotne w kontekście sprawy, to drobne odpadki po instalacjach adware z przeszłości, nie jest to powiązane z omawianym incydentem sieciowym. Oczywiście do usunięcia za pomocą programu. Zadane fiksy rozwiązały problem (WMI też wróciło do życia), więc zostały tylko drobne korekty.

 

1. W Google Chrome:

• Zresetuj synchronizację (o ile włączona): KLIK.
• Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > usuń adres www.istartsurf.com, przestaw na "Otwórz stronę nowej karty"
• Ustawienia > karta Ustawienia > Wygląd i zaznacz "Pokaż przycisk strony startowej" > klik w Zmień i usuń adres search.zonealarm.com

2. Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście wpis Metric Collection SDK > Dalej.

 

3. Napraw drobny błąd WMI posługując się narzędziem Fix-it: KLIK.

 

4. Start > w polu szukania wklep devmgmt.msc > z prawokliku Uruchom jako Administrator > odinstaluj zdefektowane urządzenie F5521gw (nazwa wyświetlana powinna zawierać frazę "Ericsson").

 

5. W kwestii tego błędu:

 

Error: (11/21/2015 04:06:03 PM) (Source: Microsoft-Windows-EapHost) (EventID: 2002) (User: ZARZĄDZANIE NT)

Description: Pomijanie: nie można zweryfikować Eap method DLL path name. Błąd: identyfikator typu=43, identyfikator autora=9, identyfikator dostawcy=0, typ dostawcy=0

 

Podaj więcej danych. Otwórz Notatnik i wklej w nim:

 

Reg: reg query HKLM\System\CurentControlSet\Services\Eaphost\Methods /s

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt.

[matteo89net]

Przepraszam, sugerowałem się samym nikiem 

 

Załączam plik wynikowy fixlog.txt

Fixlog.txt

[picasso]

Przepraszam, literówka (urwało mi jedną literę) i Fix FRSt nie wykonał zadania. Powtórz taki skrypt i dostarcz wynikowy log:

 

Reg: reg query HKLM\System\CurrentControlSet\Services\Eaphost\Methods /s

[matteo89net]

Okej, zrobione ponownie

Fixlog.txt

[picasso]

Błędy w Dzienniku zdarzeń produkują wpisy Cisco:

 

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eaphost\Methods\9

(domylny) REG_SZ Cisco
 

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eaphost\Methods\9\17

PeerDllPath REG_EXPAND_SZ C:\Program Files (x86)\Cisco\Cisco LEAP Module\CiscoEapLeap.dll

PeerFriendlyName REG_SZ @C:\Program Files (x86)\Cisco\Cisco LEAP Module\CiscoEapLeap.dll,-117

Properties REG_DWORD 0x32c406e

PeerInvokeUsernameDialog REG_DWORD 0x0

PeerInvokePasswordDialog REG_DWORD 0x0
 

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eaphost\Methods\9\25

PeerDllPath REG_EXPAND_SZ C:\Program Files (x86)\Cisco\Cisco PEAP Module\CiscoEapPeap.dll

PeerFriendlyName REG_SZ @C:\Program Files (x86)\Cisco\Cisco PEAP Module\CiscoEapPeap.dll,-119

Properties REG_DWORD 0x173cd9ff

PeerInvokeUsernameDialog REG_DWORD 0x0

PeerInvokePasswordDialog REG_DWORD 0x0
 

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eaphost\Methods\9\43

PeerDllPath REG_EXPAND_SZ C:\Program Files (x86)\Cisco\Cisco EAP-FAST Module\CiscoEapFast.dll

PeerFriendlyName REG_SZ @C:\Program Files (x86)\Cisco\Cisco EAP-FAST Module\CiscoEapFast.dll,-30119

Properties REG_DWORD 0x173ef9ff

PeerInvokeUsernameDialog REG_DWORD 0x0

PeerInvokePasswordDialog REG_DWORD 0x0
 

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eaphost\Methods\9\43\UserData

 

Na liście zainstalowanych są dopasowane aplikacje:

 

==================== Zainstalowane programy ======================
 

Cisco EAP-FAST Module (HKLM-x32\...\{64BF0187-F3D2-498B-99EA-163AF9AE6EC9}) (Version: 2.2.14 - Cisco Systems, Inc.)

Cisco LEAP Module (HKLM-x32\...\{AF312B06-5C5C-468E-89B3-BE6DE2645722}) (Version: 1.0.19 - Cisco Systems, Inc.)

Cisco PEAP Module (HKLM-x32\...\{0A4EF0E6-A912-4CDE-A7F3-6E56E7C13A2F}) (Version: 1.1.6 - Cisco Systems, Inc.)

 

Czy w ogóle z nich korzystasz? Odinstaluj wszystkie te pozycje. A błędy w Dzienniku zdarzeń skoryguje skrypt FRST usuwający cały klucz numer "9":

 

DeleteKey: HKLM\System\CurrentControlSet\Services\Eaphost\Methods\9

 

Przedstaw wynikowy fixlog.txt.

[matteo89net]

Nie wiem czy korzystam... tzn. Nie używam żadnego oprogramowania Cisco. W panelu dodaj/usuń program też nie ma niczego takiego. Czy to są jakieś sterowniki?

[picasso]

Te wpisy nie są ukryte, ale skoro ich nie widzisz na liście deinstalacji, to mogą to być odpadki po jakiejś wcześniej deinstalacji. Błędy w Dzienniku zdarzeń wskazują, że pliki tych aplikacji nie są nawet znajdowalne przez system. W związku z tym uruchom ponownie to samo narzędzie, którym się posługiwałeś do usunięcia Metric Collection SDK, i sprawdź czy ono widzi te wpisy. Jeśli tak, to po kolei je usuń (program należy uruchomić aż trzy razy, gdyż nie umożliwia akcji hurtowej). Po operacji zastosuj podany już Fix FRST.

[matteo89net]

Aha, tak więc zrobię. Dziękuję

[picasso]

Czy udało się te wpisy odinstalować narzędziem Microsoftu? I zaprezentuj wynikowy fixlog.txt ostatniego zadanego skryptu FRST.

[matteo89net]

Witam,

 

Dopiero teraz mogłem się tym dalej zająć. Narzędzie od MS nie wskazywało mi na liście tych aplikacji. Zaznaczyłem "Niewymienione", i wpisywałem po kolei:

 

{64BF0187-F3D2-498B-99EA-163AF9AE6EC9}, {AF312B06-5C5C-468E-89B3-BE6DE2645722}, {0A4EF0E6-A912-4CDE-A7F3-6E56E7C13A2F}

 

Załączam log i screeny.

 

Pojawił się problem z graficznym interfejsem klawiszy funkcyjnych. Po zamknięciu pokrywy z monitorem, a później wznowieniu pracy systemu zostaje duch z interfejsu na monitorze. Pokazane i zaznaczone zostało to na screenie.

Fixlog.txt

[picasso]

Narzędzie od MS nie wskazywało mi na liście tych aplikacji.

Te wejścia na liście deinstalacyjnej usunie poniższy skrypt do FRST:

 

DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{0A4EF0E6-A912-4CDE-A7F3-6E56E7C13A2F}
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{64BF0187-F3D2-498B-99EA-163AF9AE6EC9}
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{AF312B06-5C5C-468E-89B3-BE6DE2645722}

 

Przedstaw wynikowy fixlog.txt.

 

 

Pojawił się problem z graficznym interfejsem klawiszy funkcyjnych. Po zamknięciu pokrywy z monitorem, a później wznowieniu pracy systemu zostaje duch z interfejsu na monitorze. Pokazane i zaznaczone zostało to na screenie.

Nie wiem o co chodzi, nie były tu prowadzone żadne ingerencje związane z tą sferą. Czy ten efekt występuje także, gdy wykonasz taką oto sekwencję: wyłączyć całkowicie komputer w rozumieniu pełnego power down (nie wchodzić w stan hibernacji czy usypiania) > odczekać kilka minut > włączyć i spróbować uśpienia + wznowienia?

[matteo89net]

Wykonane.

 

Co do interfejsu klawiszy funkcyjnych teraz nie zauważyłem nic podobnego. Zobaczę w dalszej perspektywie czasu czy będzie występował wspomniany problem. Mogę też zaktualizować sterowniki?

Fixlog.txt

[picasso]

Fix FRST wykonany. Kończymy:

 

Usuń pobrany FRST i jego logi z folderu C:\Users\Muverbo\Desktop\naprawa systemu. Następnie zastosuj DelFix, wyczyść foldery Przywracania systemu oraz zaktualizuj systemowy IE. Wszystko tu: KLIK.

[matteo89net]

Dziękuję serdecznie za pomoc

 

PS: Zauważyłem jednak, że dzisiaj po wznowieniu systemu nie działał mi touchpad, brak reakcji i wskaźnika. Dopiero podłączenie zewnętrznej myszki rozwiązało tymczasowo problem. Gdy ponownie odłączyłem myszkę touchpad nadal nie reaguje.

 

Spróbuję przeinstalować sterowniki. Może to rozwiąże problem. 

[picasso]

Zapomniałam odnieść się do tego pytania o reinstalację sterowników. Tak, oczywiście możesz spróbować tego, zwłaszcza że losowo objawiają się jakieś problemy po wznowieniu. W razie czego załóż nowy temat w dziale Hardware. Tu skończyliśmy.

[matteo89net]

W porządku. Temat do zamknięcia.

 

Pozdrawiam.